Cesko.wiki Clickjacking
Author
Albert FloresClickjacking je způsob útoku na uživatele webových stránek, při kterém uživatel nějakou činností na zdánlivě neškodné stránce (např. kliknutím na tlačítko či obrázek) spustí akci, kterou nepředpokládal. Tato technika využívá zranitelnost, která se vyskytuje ve většině stávajících prohlížečů na všech platformách.
Název
Anglické slovo clickjacking vzniklo jako blend slov click (kliknutí) a hijacking (únos), neboť clickjacking využívá uživatelova kliknutí na stránku, které však zneužije pro jiný účel. Tento termín se objevil v roce 2008 v práci Jeremiaha Grossmana a Roberta Hansena.
Tento útok se také označuje jako UI redressing (převléknutí uživatelského rozhraní).
Princip útoku
Stránka využívající clickjacking má na pozadí neškodný obsah - např. vtipné obrázky a vedle nich odkaz, který o sobě tvrdí, že vede na další stránku obrázků. +more Dále je však do stránky vložen rám se zcela jinou stránkou a ten je zobrazen přes obsah na pozadí, avšak se zapnutou průhledností, takže o něm uživatel neví. Když se následně uživatel pokusí kliknout na odkaz, který má vést na další stránku, ve skutečnosti kliká na neviditelnou stránku navrchu. Tím může na cílové stránce provést prakticky libovolnou akci, aniž by o tom věděl a souhlasil.
Cílová stránka může být klidně zabezpečený web, na který se uživatel musí přihlašovat heslem; stačí, aby se někdy předtím na tento web přihlásil a server si stále jeho přihlášení pamatoval, pak se akce provede tak, jako by ji tento přihlášený uživatel provedl sám úmyslně. Uživatel tak může následkem útoku např. +more nevědomky koupit nějaké zboží v e-shopu, snížit zabezpečení svého profilu na sociální síti, smazat článek z redakčního systému atd.
Clickjacking je aplikací problému zmateného zástupce.
Příklady zneužití
Mezi dokumentované případy využití clickjackingu patří například zpřístupnění webkamery a mikrofonu prostřednictvím Adobe Flash či šíření odkazů prostřednictvím Facebooku či Twitteru.
Ochrana
Provozovatelé webových stránek se proti podobným útokům mohou bránit tím, že znemožní zobrazení své stránky uvnitř rámu. Taková obrana (označovaná jako framebuster, framekiller či framebreaker) se zpravidla realizuje prostřednictvím JavaScriptu, to však často bývá provedeno nedokonale, takže útočník dokáže takovou ochranu obejít.
Firma Microsoft v IE8 zavedla nový způsob ochrany proti clickjackingu, ten později implementovaly i prohlížeče Mozilla Firefox, Apple Safari, Google Chrome a Opera. Tato ochrana spočívá v zavedení nové HTTP hlavičky X-FRAME-OPTIONS, prostřednictvím které server sděluje prohlížeči, zda je dovoleno příslušný obsah zobrazit uvnitř rámu. +more Pokud tedy např. e-shop všechny potenciálně nebezpečné stránky posílá s touto hlavičkou a útočná stránka se pokusí načíst je do rámu, v rámu se objeví jen upozornění prohlížeče, že požadovaný obsah nemůže být z bezpečnostních důvodů zobrazen. Jiný návrh, se kterým přišla Mozilla, má zahrnovat ochranu proti clickjackingu v rámci obecnějšího mechanismu označovaného jako Content Security Policy.
Cílená ochrana proti clickjackingu na klientské straně je prozatím velmi slabá; z běžně používaných nástrojů obsahuje takovou ochranu jen rozšíření NoScript pro prohlížeč Mozilla Firefox.
Reference
Externí odkazy
[url=http://www.soom.cz/index.php?name=articles/show&aid=584&title=Clickjacking-1]Obsáhlý seriál věnovaný Clickjackingu (česky)[/url]